云桌面整合了計算、存儲、網(wǎng)絡(luò)等資源,因此云桌面的安全也分為兩部分:云桌面承載平臺的安全和云桌面訪問網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)準(zhǔn)入控制是指對網(wǎng)絡(luò)的邊界進(jìn)行保護(hù),對入網(wǎng)終端的使用者進(jìn)行身份驗證,并對入網(wǎng)終端進(jìn)行合規(guī)檢查。傳統(tǒng)的云桌面廠商對云桌面承載平臺的安全性尤為關(guān)注,而網(wǎng)絡(luò)廠商在進(jìn)入云桌面領(lǐng)域時,發(fā)揮了其天然優(yōu)勢,將網(wǎng)絡(luò)準(zhǔn)入控制融入云桌面安全中,擴(kuò)大了云系統(tǒng)的安全邊界、提升了云系統(tǒng)的安全等級。
1.云桌面準(zhǔn)入的現(xiàn)狀
目前,大部分云桌面的準(zhǔn)入主要依靠類似LDAP服務(wù)器的用戶管理系統(tǒng)。如圖1所示,用戶在訪問和使用云桌面前,網(wǎng)絡(luò)是暢通的,任何人使用任意終端都可以輕松連接到云桌面的登錄系統(tǒng)。用戶身份校驗通過后,即可訪問和使用云桌面。在此過程中,用戶系統(tǒng)僅僅做了身份驗證的工作。相對于用戶系統(tǒng)搭建、維護(hù)的復(fù)雜程度(比如Windows AD),其投入產(chǎn)出比顯然無法達(dá)到管理者的預(yù)期。同時,管理者樂于見到數(shù)據(jù)邊界不被觸碰,即在身份驗證通過之前,云桌面管理平臺與云桌面資源池均對用戶不可見。現(xiàn)有用戶系統(tǒng)也無法進(jìn)一步提升云系統(tǒng)的安全等級,很難支持證書認(rèn)證、多因素綁定認(rèn)證等安全性更高的認(rèn)證方式。
圖1 云桌面系統(tǒng)
2.引入網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)
引入網(wǎng)絡(luò)準(zhǔn)入控制技術(shù),是云桌面解決方案的重要一環(huán),也是迫切需求。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)既可以解決云桌面無法直面的網(wǎng)絡(luò)安全問題,也不會增加用戶使用的難度。
擁有網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的云桌面系統(tǒng)可以稱之為云桌面準(zhǔn)入系統(tǒng),如圖2所示。用戶在身份驗證通過前,無法訪問云桌面管理平臺。用戶通過身份驗證后,用戶系統(tǒng)與云桌面管理平臺聯(lián)通,既直接將云桌面授權(quán)給用戶使用,又同步開放了網(wǎng)絡(luò)權(quán)限。
圖2 云桌面準(zhǔn)入系統(tǒng)
- 現(xiàn)有的網(wǎng)絡(luò)模式的無障礙過渡
現(xiàn)有網(wǎng)絡(luò)的各種認(rèn)證方式(802.1X、Portal等)、各種網(wǎng)絡(luò)控制手段(ACL、VLAN等)都可以無障礙過渡到云桌面準(zhǔn)入系統(tǒng)中。云桌面承載與網(wǎng)絡(luò)之上,因此前端采用802.1X或Portal并不影響云桌面的使用。而通過ACL或VLAN,可以為用戶單獨(dú)提供云桌面的訪問權(quán)限,阻斷其他應(yīng)用系統(tǒng)的訪問權(quán)限。
- 高等級身份驗證
身份驗證的手段不再僅限于用戶名/密碼、信息卡等,證書認(rèn)證、多因素綁定認(rèn)證都均可平滑引入。高等級的身份驗證就像一道擋在用戶與云桌面之間的鐵門,將非法用戶拒之門外,且防止暴力破解等非法手段。
- 單點(diǎn)登錄
用戶系統(tǒng)與云桌面管理平臺之間通過API接口等方式進(jìn)行聯(lián)動。用戶系統(tǒng)通知網(wǎng)絡(luò)設(shè)備放開網(wǎng)絡(luò)的同時,將合法用戶的身份信息通知云桌面管理平臺,云桌面管理平臺即可將用戶對應(yīng)的云桌面對用戶開放。該過程中,用戶只需進(jìn)行一次認(rèn)證,即可完成網(wǎng)絡(luò)準(zhǔn)入和云桌面雙重認(rèn)證。當(dāng)然,這些都依托于合一的代理軟件或Web應(yīng)用系統(tǒng)之間的對接。
- 瘦客戶機(jī)、利舊PC、移動終端統(tǒng)一控制
網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)兼容多種類型的終端。
對于瘦客戶機(jī),可以直接在瘦客戶中預(yù)裝代理軟件或網(wǎng)頁控件,并將軟件或控件植入瘦客戶機(jī)的登錄界面。用戶在登錄瘦客戶機(jī)時,即完成了所有認(rèn)證,無感知使用。
對于利舊PC,直接安裝代理軟件或網(wǎng)頁控件。用戶完成認(rèn)證后,即可在代理軟件或網(wǎng)頁中查看并使用已被授權(quán)的云桌面。作為一種擴(kuò)展,代理軟件還可以對PC進(jìn)行合規(guī)檢查,保證PC安全無漏洞。
對于移動終端,在移動終端上安裝代理軟件。代理軟件還是一款移動辦公的門戶軟件,除了集成準(zhǔn)入、云桌面外,還可以將其他企業(yè)APP也集成到代理軟件中。這種彈性架構(gòu)保證了移動辦公業(yè)務(wù)的可擴(kuò)展性和快速實施。
- 內(nèi)網(wǎng)、外網(wǎng)一體化管理;有線、無線一體化管理
由于云桌面系統(tǒng)與網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)解耦,因此網(wǎng)絡(luò)形態(tài)不影響云桌面系統(tǒng)。
對于內(nèi)網(wǎng)用戶,有線接入時采用802.1X、Portal認(rèn)證等,無線接入時采用WLAN 802.1X、Portal、MAC認(rèn)證等;對于外網(wǎng)用戶,采用VPDN、SSL VPN等方式接入。
用戶使用云桌面不受地點(diǎn)、時間、終端、網(wǎng)絡(luò)等的限制,這也是BYOD的延伸和擴(kuò)展。
3.結(jié)束語
云桌面與網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的契合,可以提高云桌面的安全等級,消除網(wǎng)絡(luò)風(fēng)險,整體提升云桌面解決方案的安全性。云桌面準(zhǔn)入系統(tǒng)不受終端類型的限制、不受接入時間地點(diǎn)的限制、不受網(wǎng)絡(luò)形態(tài)的限制,通過對使用者、終端、網(wǎng)絡(luò)的有效、規(guī)范的管理,能夠防止非法的信息竊取。在未來的網(wǎng)絡(luò)環(huán)境中,這一技術(shù)必將成為業(yè)界所探究的重點(diǎn)。
